南都发布《个人信息安全年度报告(2022)》
八成App超频率调用权限 不足一成应用落实可携权
12月22日,“2022啄木鸟数据治理论坛”在京召开。论坛由南都个人信息保护研究中心联合清华大学人工智能国际治理研究院、人工智能治理研究中心(清华大学)举办。会上,南都个人信息保护课题组发布了《个人信息安全年度报告(2022)》(以下简称“报告”)。
相比往年,今年的报告拓展了测评维度,从隐私政策、权限获取、SDK收集使用个人信息和个人信息的复制转移、个性化展示等六个方面对150款App进行测评。另外,还对四个应用商店的App上架审核情况进行了测评。
超八成App隐私政策透明度得分及格
南都个人信息保护研究中心针对今年工信部、国家网信办、公安部通报违法违规App(包含SDK)的相关情况进行了梳理,发现今年共有635款因个人信息相关问题被通报。
在今年工信部的通报中,App强制、频繁、过度索取权限的情况最严重,共出现了152次,占比约46.2%。另外,“强制用户使用定向推送功能”问题也比较严重,被工信部通报了58次。在国家网信办通报下架的App中,“强制索要非必要权限”和“隐私政策无法访问”问题较为突出。而在今年公安部的通报中,存在“未向用户明示申请的全部隐私权限”问题的App最多,占比超过九成。
从上述通报可以看出,隐私政策、权限获取、定向推送等问题均为官方通报的重点。从2017年起,南都个人信息保护研究中心连续六年发布个人信息安全年度报告,对App的隐私政策、权限合规等方面进行测评。隐私政策的透明度越高,则代表隐私政策中关于企业如何收集、使用、存储和保护个人信息的描述越清晰和全面。
相比往年,今年的报告拓展了测评维度,从隐私政策、权限获取、SDK收集使用个人信息和个人信息的复制转移、个性化展示等六个方面对150款App进行测评。另外,还对四个应用商店的App上架审核情况进行了测评。
报告结果显示,在此次被测的150款App中,132款App的隐私政策透明度得分超过了及格线,占到总数的88%。其中,“云闪付”App得分最高,为91分;“自如”和“360借条”两款App紧随其后,分别为90分和89分。
150款App的得分主要集中在透明度较高和中等区间,均占约四成。仅有18款App的得分在60分及以下,其中隐私政策透明度较低的App有16款,两款App的隐私政策透明度为低。
三成App首次使用时收集非必要权限
在权限合规方面,报告主要考察了App是否超范围申请/获取权限;是否详细告知申请权限目的以及对应的个人信息;用户明确拒绝某权限后,App是否频繁申请该项权限。
报告显示,共有14款App的总得分在90分及以上,其中“一起考教师”App以100分位居第一,“快手”“唯品会”“大众点评”等13款App以90分位居其后,另有10款App获得了85分。得分为75分的App数量最多,有62款;得分在60分以下的不及格App共27款,其中“金币云商”App得分最低,仅有20分。
报告显示,在150款被测App中,有42款App在用户首次使用时收集了必要权限以外的其他非必要权限,占比近三成,其中不乏“抖音”“网易云音乐”“支付宝”等头部App,涉及的权限包括存储、电话、相册、定位、应用列表等。
报告认为,虽然用户即使拒绝App获取这些非必要权限也不影响App其他功能的正常使用,但是在用户触发相关功能之前就弹窗,有诱导用户交出非必要个人信息的嫌疑。
近八成App超频率采集个人信息
App超频率调用权限问题屡受诟病。去年10月,有网友发现多个常用App在用户未主动激活的情况下,于后台频繁读取手机相册,每次读取时间为40秒至1分钟。相关平台回应称,该功能系为方便用户快速发图做准备,仅在手机本地完成。
2019年8月,国家市场监管总局和中国国家标准化管理委员会发布的《信息安全技术移动互联网应用(App)收集个人信息基本规范》(征求意见稿)提出,用户明确拒绝使用某服务类型后,App不得频繁(如每48小时超过一次)征求用户同意使用该类型服务,并保证其他服务类型正常使用。
报告显示,在150款被测App中,有116款自动采集个人信息频率超出了实现其业务功能所必需的最低频率,占比近八成,仅有34款App符合标准。
报告称,Android ID是本次测评中被超频率读取最多的个人信息,“多多进宝”(2.23.0)、“钉钉”(6.5.50)等106款App 在一定时限内读取Android ID超出了实现业务功能所必需的最低频率。
如“乐视视频”App(10.5.3)平均每分钟读取Android ID约15次,“度小满金融”App(8.2.2)则是平均每分钟7.5次——都大大超过了合规标准。
此外,有74款App超频率读取了MAC地址,其中“乐视视频”App(10.5.3)平均每分钟读取约38次,而“嘀嗒出行”App(8.41.0)平均每分钟读取MAC地址约7次,“天眼查”App(12.70.2)平均每分钟读取约6次。
9个SDK读取个人信息未告知
本次报告也在史宾格安全及隐私合规平台的技术支持下,将SDK纳入测评范围。SDK可以帮助App高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能,同时自身也具备获取相当一部分设备信息和用户个人信息的能力。
报告显示,受测的150款App共使用了至少175个不同的SDK,其中68个读取了Android ID,48个读取了设备IP,45个读取了MAC地址。
报告还发现,有25个SDK读取了用户的电话号码、精确地理位置、IMEI号、剪切板信息、传感器信息等个人信息。其中大部分SDK读取个人信息的行为与其所属App功能之间存在较易理解的相关性,但也有一些SDK收集个人信息的正当性存疑。
比如魅族推送SDK属于消息推送类,实现它的功能无需收集用户手机号,但当嵌入聚美App(8.793)时,魅族推送SDK却读取了这一个人信息。极光推送、LinkedMe、Growingio三款SDK的功能分别是消息推送、埋点统计类和唤醒/拉活,与读取剪切板信息并无直接关联。
此外,上述25个获取了个人信息的SDK中有9个未作出相应声明,其中未告知采集剪切板信息和传感器信息的问题最突出。比如神策数据分析、运营商一键登录、TalkingData移动应用统计分析、有道翻译SDK未声明读取传感器信息;极光推送、LinkedMe、Growingio未声明读取剪切板信息。
不足一成App在15天内提供个人信息副本
个人信息保护法第四十五条规定,个人有权向个人信息处理者查阅、复制其个人信息,还有权请求将个人信息转移至其指定的个人信息处理者。在业界,这一条款也被类比为欧盟《通用数据保护条例》中的数据“可携权”。
测评结果显示,150款被测App中,共有45款App在隐私政策中明确告知个人信息副本可下载且可转移,更多的App告知可下载但没有提到转移。经实测,在15天内向用户提供了个人信息副本的仅有今日头条、腾讯新闻等14款App,占比不到一成。
这14款App中,有12款是在App内部提供了个人信息自动化导出的功能,用户可立刻从App内下载或获取自动邮件反馈。不过,用户获取个人信息副本的渠道大部分还是发送邮件,其他还有拨打电话、在线客服、留言反馈等。
值得注意的是,不少App将个人信息副本等同于用户可以自行查看的基础信息。“百词斩”“高途”“携程旅行”“京东”“堆糖”等App邮件回复称,请用户自行在App个人设置界面查看个人信息,无法专门提供副本。
此外,很多客服不知道如何应对获取个人信息副本的请求。比如“脉脉”“哈啰”“买单吧”“中移移动办公”“伊对”“连信”等App的客服表示不理解诉求;“堆糖”“云闪付”“中移移动办公”“星辰头条”等App的客服则明确表示无此业务。
从收到的个人信息副本来看,目前App提供的绝大多数个人信息都是自动生成的账号信息和用户主动提供的信息,列出设备信息如设备ID、Android ID等并不常见。
报告认为,引入可携权的初衷或许在于打破不充分竞争格局,实现数据的流通转移,但实际上,许多App运营者并未真正理解以及落实可携权,这项用户权利究竟该怎么做,还需进一步探索。
